05 57 350 350
www.dmpinformatique.fr
CONVENTION DE SOUS TRAITANCE RGPD
Réglement Général sur la Protection des Données
DMP Informatique
15 bis Avenue Descartes
SARL au capital de 40 000 € – Siret 482 623 980 000 – APE : 4741Z 33370 Artigues prés Bordeaux
CONVENTION DE SOUS TRAITANCE
Règlement Général sur la Protection des Données (RGPD)
Ci-après le client ou son représentant légal sera désigné comme responsable de traitement
DMP Informatique est désigné par le responsable de traitement comme sous-traitant
ARTICLE I : OBJET
En sollicitant les services de la société DMP INFORMATIQUE, le responsable de traitement accepte que le traitement de données à caractère personnel puisse être effectué pour son compte par la société DMP INFORMATIQUE.
Ceci étant, en tant que professionnel soumis à la règlementation applicable en matière de protection des données à caractère personnel, il vous appartient de respecter l’intégralité des obligations qui sont les vôtres notamment au titre du règlement (UE 2016/679) du Parlement européen et du conseil du 27 avril 2016, applicable à compter du 25 mai 2018.
Vous devez, notamment, prendre toutes les précautions nécessaires et utiles afin d’interdire que des personnes non autorisées aient accès à des données à caractère personnel telles que définies par ladite règlementation.
A ce titre, le responsable de traitement s’engage à mettre tout en œuvre afin que les données à caractère personnel dont il est susceptible d’avoir connaissance soient protégées, notamment par la mise en place d’une sauvegarde quotidienne sur un support chiffré ou crypté, ainsi qu’une protection de son système informatique à l’encontre de toutes intrusions ou piratage.
La société DMP INFORMATIQUE n’assure pour le responsable de traitement qu’un rôle purement technique.
Dans ce cadre, la société DMP INFORMATIQUE, ses dirigeants comme son personnel, ne sont pas censés accéder à des données à caractère personnel dont a connaissance le responsable de traitement.
S’il était indispensable que tel soit le cas, les données à caractère personnel doivent être chiffrées afin de permettre au technicien d’assurer sa mission sans pouvoir lire ces données.
Dans le cadre de leur relation contractuelle, les parties au présent contrat s’engage à respecter chacune la réglementation en vigueur applicable au traitement de données à caractère personnel, et notamment le règlement (UE 2016/679) du Parlement européen et du conseil du 27 avril 2016, applicable à compter du 25 mai 2018.
Ceci étant précisé, le présent contrat a pour objet de définir l’objet et la nature du traitement, la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement, en application de l’article 28 du règlement (UE 2016/679) du Parlement européen et du conseil du 27 avril 2016.
ARTICLE II : DESCRITPION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir les services d’installation de tout logiciel d’exploitation et l’exécution de tout contrat de service conclu avec le sous-traitant.
Les opérations réalisées sur les données sont celles rendues indispensables par l’installation et l’exécution de tout logiciel commandé auprès du sous-traitant ainsi que l’exécution des contrats de service conclus avec le sous-traitant.
Les finalités du traitement de ces données sont donc uniquement celles destinées à assurer la parfaite et complète exécution des prestations confiées par le responsable du traitement au sous-traitant.
Les données à caractère personnel traitées peuvent être les suivantes :
− Etat civil des patients : identité, numéro de sécurité sociale, date et lieu de naissance, copie pièce d’identité, images
− Données sur la situation familiale, données de santé et adresse
− Dans le cadre de la vie professionnelle :
Données sur les fonctions, la spécialité, statut dans la structure, et données sur les associations
− Information d’ordre économique et financier : données sur les revenus, données bancaires
− Données de localisation : agenda, déplacements, données GPS, GSM…
− Donnée Internet (cookies, traceur, données de navigation, mesure d’audience, adresses email et navigateur)
Les catégories de personnes concernées sont :
− « Patients/clients » sous la responsabilité du responsable de traitement ou de la structure juridique au sein de laquelle il exerce.
− Personnel de l’entreprise inscrit dans la base de données.
Pour la bonne exécution du présent contrat, le responsable de traitement s’engage à mettre à la disposition du sous-traitant l’intégralité des informations qui lui sont nécessaires.
ARTICLE III : DUREE DU CONTRAT
Le présent contrat entre en vigueur à compter de la livraison par le sous-traitant au bénéfice du responsable de traitement du matériel ou à compter du début d’exécution des prestations qu’il lui a confiées.
Le présent contrat expirera au plus tard au terme de l’exécution des prestations confiées par le responsable de traitement au sous-traitant.
ARTICLE IV : OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT
En application de l’article 28 du règlement européen sur la protection des données, le sous-traitant s’engage à :
1. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.
2. Traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat.
3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat.
4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
– s’engagent à respecter la confidentialité ou soient soumises à un obligation légale appropriée de confidentialité
– reçoivent la formation nécessaire en matière de protection des données à caractère personnel
5. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
6. Sous-traitance
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques.
Dans ce cas, il informe préalablement par écrit le responsable de traitement de l’intervention de ce sous-traitant ou l’ajout ou le remplacement d’autres sous-traitants.
Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection dans un délai de 15 jours à compter de la réception de l’information écrite visée à l’alinéa précédent.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement.
7. Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
8. Exercice des droits des personnes
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable de traitement.
9. Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité requises aux fins d’assurer le respect de la réglementation applicable relative à la protection des données à caractère personnel.
Il s’engage notamment à faire procéder à la signature d’un engagement de confidentialité par l’ensemble de son personnel habilité à intervenir sur site, ou pouvant, d’une manière directe ou indirecte, pouvant avoir accès à des données à caractère personnel.
10. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à détruire toutes les données à caractère personnel après un délai de 30 jours.
11. Délégué à la protection des données
Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données.
Au jour de la signature des présentes, le délégué à la protection des données du sous-traitant est Monsieur Yves POSSARD en sa qualité de gérant de la société DMP INFORMATIQUE domiciliée 15bis avenue Descartes, 33370 ARTIGUES PRES BORDEAUX (Adresse mail : yves@dmpinformatique.fr )
Tout changement fera l’objet d’une information écrite du responsable de traitement.
12. Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
• Le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
13. Documentation
Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations.
ARTICLE V : OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT
Le responsable de traitement s’engage à :
1. Fournir au sous-traitant les données visées au II des présentes clauses.
2. Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant.
3. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant.
ARTICLE VI : DROIT APPLICABLE ET ATTRIBUTION DE JURIDICTION
Le présent contrat est soumis à la loi française.
Tout litige relatif à sa conclusion, son exécution ou sa résiliation sera, défaut d’accord amiable, de la compétence exclusive des juridictions de Bordeaux.